Мир

Операция Soft Cell. Как китайские хакеры помогли Трампу

Доклад об атаке китайских хакеров на десяток компаний может быть элементом информационной войны США
Владислав Гирман
Владислав Гирман
обозреватель отдела международной политики
Операция Soft Cell. Как китайские хакеры помогли Трампу
Фото: Shutterstock

В рамках получившей кодовое название Soft Cell операции, которая длится с 2012 г. (а вероятно, и дольше) хакеры из группировки АРТ10, предположительно аффилированные с китайским правительством, атаковали десяток телекоммуникационных компаний в тридцати с лишним странах.

Получение доступа к этим компаниям, чьи названия не приводятся, проводилось в несколько этапов. Реализация первого этапа, как сообщила 25 июня в своем докладе американо-израильская компания Cybereason Nocturnus, работающая в сфере безопасности, началась в 2017 г. В течение уже 2018 г. киберпреступники получили полный доступ к сетям компаний с целью получения персональных данных интересующих Пекин лиц. А привлекали внимание китайцев прежде всего представители иностранных правительств и силовых органов, а также политики.

По данным Cybereason, хакеры заполучили доступ к паролю каждого пользователя, что в свою очередь открыло путь к счетам, сведениям о телефонных разговорах и переписке, почте, геолокации и т. д. В общем, ко всему, что имеет значение в наш цифровой век.

По словам гендиректора Cybereason Лиора Дива, за семь лет операции Soft Cell проникновение хакеров в компьютерные сети стало полномасштабным - на всех уровнях. "Они могут управлять инфраструктурой так, как если бы это была их инфраструктура. Они создали теневой IТ-отдел и могли во взломанной системе делать все, что пожелают", - добавил Див. По его мнению, высокий уровень сложности проводимых атак свидетельствует о том, что кибернападения не были делом рук каких-нибудь криминальных группировок, а могли проводиться лишь в тесной координации с любым правительством. И речь о правительстве Китая.

Что указывает на Китай? В Cybereason, изучив анатомию атак, пришли к выводу, что применяемые инструменты и методы, или TTP (tactics, techniques and procedures) идентичны тем, которые использует группировка APT10 (известная также, как Menupass, Red Apollo, Stone Panda, CVNX), которую правительство США связывает с Министерством государственной безопасности КНР.

Для получения доступа к сетям телекоммуникационных компаний использовалась модифицированная версия веб-оболочки China Chopper. Эту веб-оболочку, которая "весит" лишь 4 килобайта, впервые обнаружили еще в 2012 г. Ее применяют по большей части китайские хакеры для удаленного управления веб-серверами. Сам взлом сетей тех 10 компаний производился через процесс ОС Windows - w3wp.exe, запускающий веб-приложения и отвечающий за обработку запросов, отправленных на веб-сервер.

Послужной список

Он у APT10 достаточно длинный. Хакеры мозолят глаза американскому правительству еще с 2006 г., когда начались их первые атаки. APT10 тогда использовала направленный фишинг с целью сбора данных учетных записей работников ряда компаний, посредством которых после внедрения вредоносного ПО похищали интеллектуальную собственность в огромных объемах. Досталось в свое время и провайдерам, предоставляющим клиентам IT-оборудование и услуги, - Hewlett Packard Enterprise и IBM.

Мало того, как заявлял ранее Минюст США, APT10 были причастны к взломам Центра космических полетов им. Годдарда NASA, Лаборатории реактивного движения, Национальной лаборатории Министерства энергетики США им. Лоуренса в Беркли и даже американских ВМС, когда были похищены личные данные 100 тыс. военнослужащих.

В феврале этого года из отчета Rapid7 и Recorded Future стало известно, что APT10 в августе 2018-го также взломала норвежскую компанию Visma, которая является одним из топовых в Европе поставщиков облачных технологий. Правда, как заявила сама компания в пресс-релизе, ее специалистам удалось вовремя остановить взлом и хакеры получили лишь внутренние данные Visma, но не информацию клиентов.

В целом же в Вашингтоне отмечают, что APT10 несет ответственность за кибератаки на 45 компаний, госучреждений и провайдеров в Соединенных Штатах. География деятельности злоумышленников затрагивает также Канаду, Бразилию, Великобританию, Германию, Финляндию, Францию, Швейцарию, Швецию, ОАЭ, Индию и Японию.

Контрнаступление

Вызывает вопрос, собственно, время, выбранное для публикации данного доклада. Если операция длится с 2012 г., а атаки на телекоммуникационные компании хакеры начали готовить еще в 2017-м, то почему деятельность китайской группировки попала на страницы данного отчета в середине 2019-го?

Нет ли связи между этим докладом и продолжением торговой войны между Вашингтоном и Пекином, которая выразилась сперва в введении Дональдом Трампом ограничений в отношении компании Huawei по подозрении в шпионаже? И буквально накануне - 21 июня - Минторговли США в черный список внесло также еще пять IT-компаний из Поднебесной: Higon, Sugon, THATIC, Chengdu Haiguang Integrated Circuit и Chengdu Haiguang Microelectronics Technology. Как пишет Bloomberg, эти компании являются лидерами по разработкам в области сверхбыстрых компьютерных вычислений. И теперь им запрещено покупать американские товары и услуги.

И примечательно, что 25 июня, когда появился доклад Cybereason, CNN со ссылкой на свои источники сообщил о проведении американскими военными в ответ на сбитый беспилотник масштабной кибератаки на шиитскую группировку "Катаиб Хезболла", которая действует на территории Ирака, а также Сирии, где воюет плечом к плечу с силами режима Башара Асада. Она также активно участвовала в боях против Международной коалиции во главе с Штатами в Ираке. По данным Госдепартамента США, группировка финансируется спецподразделением иранского КСИР "Кудс".

Казалось бы, при чем здесь Китай? Но на сегодняшний день Китай и Иран в списке Белого дома внешних угроз для США занимают верхние строчки, по понятной причине подвинув Россию (личная аллергия Трампа на "российское дело").

Вышеупомянутый доклад Cуbereason в совокупности с просочившимися в СМИ данными о кибератаке на иранские прокси-силы вполне может быть еще одним элементом информационной войны. Наряду с введением санкций в отношении китайских цифровых и технокомпаний. Таким образом в медиа прочно укрепляется аргументация для предстоящей или предстоящих киберопераций наступательного характера против и Китая, и Ирана. Тем более что успешный опыт проведения таких киберопераций у Штатов уже есть.

Например, когда американские специалисты в день проведения промежуточных выборов в 2018 г. отрубили доступ к интернету "фабрике троллей" Евгения Пригожина. Были в истории США операции и в отношении Ирана - с использованием червя Stuxnet для нарушения работ центрифуг. Сейчас, после того как американцы вдоволь поиздевались над "ольгинскими", Cybercom (Киберкомандование) явно работает в полную силу и может готовиться к расширению фронта деятельности на Китай и Иран.